برمجية أوكوبوت تستهدف مستخدمي محافظ ليدجر وتريزور عبر صفحات مزيفة داخل التطبيق نفسه، في هجوم خطير رُصد منذ أبريل 2025.
ما هي برمجية أوكوبوت التي تهدد محافظ ليدجر وتريزور؟
كشفت تحليلات أمنية حديثة عن إطار خبيث يحمل اسم OkoBot يعمل على أجهزة ويندوز، ويضم أكثر من 20 حمولة ووحدة ضارة. الأخطر هنا أن الهجوم لا يعتمد على كسر المحفظة نفسها، بل على خداع المستخدم لإدخال عبارة الاسترداد بيده.
وبحسب ما رصده تيكبامين، فإن البرمجية تهاجم تطبيقات سطح المكتب الخاصة بالمحافظ الرقمية، ثم تعرض صفحة تطلب عبارة الاسترداد داخل واجهة تبدو شرعية تماما. هذا الأسلوب يجعل الضحية يثق بالنافذة لأن التطبيق المحيط بها يكون حقيقيا بالفعل.
كيف تسرق برمجية أوكوبوت عبارة الاسترداد؟
وحدة SeedHunter هي العنصر الأخطر
تعتمد برمجية أوكوبوت على مكوّن باسم SeedHunter، وهو المسؤول مباشرة عن سرقة العبارة السرية. بعد إصابة الجهاز، يبدأ بمراقبة تطبيقات Trezor Suite وLedger Wallet وLedger Live، ثم يحقن نفسه داخل التطبيق المكتشف.
بعد ذلك يتواصل المكوّن مع خادم التحكم للحصول على التعليمات. وإذا كان خيار الانتظار مفعّلا، فإنه لا يعرض الصفحة المزيفة فورا، بل يراقب اتصال أجهزة USB إلى أن يتم توصيل محفظة ليدجر أو تريزور الحقيقية.
- يراقب تطبيقات المحافظ الرقمية على ويندوز
- يحقن كوده داخل تطبيق Electron الحقيقي
- ينتظر أحيانا توصيل الجهاز قبل عرض الطلب
- يجمع عبارة الاسترداد ويرسلها بصيغة JSON
لماذا يعد هذا الهجوم خطيرا على مستخدمي العملات الرقمية؟
تكمن الخطورة في أن المحفظة الصلبة نفسها لا تُخترق تقنيا، بل تؤدي وظيفتها الطبيعية في حماية المفاتيح الخاصة. لكن التطبيق المصاحب على الكمبيوتر يمكن استغلاله لإقناع المستخدم بإدخال العبارة السرية، وهنا تضيع الحماية بالكامل.
هذا يعني أن أي مستخدم يكتب عبارة الاسترداد داخل هذه الصفحة المزيفة يمنح المهاجمين الوصول الكامل إلى أصوله الرقمية. لذلك تبقى قاعدة الأمان الأهم واضحة: لا تدخل عبارة الاسترداد داخل أي نافذة منبثقة أو طلب مفاجئ داخل التطبيق.
كيف يصل OkoBot إلى أجهزة ويندوز؟
برامج مزيفة وطعوم تحميل خادعة
تشير البيانات إلى أن الإصابة تتم غالبا عبر أسلوبين رئيسيين: صفحات خادعة تدفع المستخدم لتنفيذ أوامر ضارة، أو تنزيل برامج مزيفة من مستودعات تبدو موثوقة. وفي إحدى الحالات، جرى الترويج لبرنامج على أنه أداة لإدارة SQL Server، بينما كان في الحقيقة نسخة معدلة من Audacity مزروعة بملف خبيث.
- فترة النشاط المرصودة بدأت في أبريل 2025
- البرمجية ظلت نشطة حتى 15 يوليو 2025
- تم تسجيل مئات الضحايا عبر أكثر من 25 دولة
- أبرز الدول المتأثرة: البرازيل وفيتنام وكندا والمكسيك وتركيا
كيف تحمي نفسك من برمجية أوكوبوت؟
لحماية أموالك، لا تثق بأي طلب يطالبك بعبارة الاسترداد داخل تطبيقات المحافظ، حتى لو بدا الطلب طبيعيا. كما يجب تنزيل البرامج من المصادر الرسمية فقط، وتجنب النسخ المعدلة أو الملفات المنتشرة عبر روابط مجهولة.
وفي ختام المتابعة، يؤكد تيكبامين أن برمجية أوكوبوت تمثل تذكيرا جديدا بأن الخطر الأكبر في عالم العملات الرقمية قد يكون في الهندسة الاجتماعية لا في كسر التشفير نفسه.